Cloud Service
OCI Access Governance
誰がどのリソースにアクセスできるかを可視化し、アクセスレビュー・証明(認証)と是正を自動化する IGA サービス。クラウドとオンプレ横断で過剰権限を棚卸しできる。AWS の IAM Access Analyzer +アクセスレビューに近い位置づけ。
- 1.アクセス権を可視化しレビュー・証明(キャンペーン)を回す IGA サービス。
- 2.プロビジョニング自動化・SoD 違反検知・推奨提示で是正を支援する。
- 3.OCI IAM やオンプレ含む多様な対象を統合し、IAM の認可を補完する。
解決する課題
- 「誰が・何に・どこまでアクセスできるか」が散在して見通せない → 横断的に可視化したい
- 付与した権限が棚卸しされず溜まり続ける(権限クリープ)→ 定期的にレビューして剥がしたい
- アクセス権の妥当性を**承認者が証明(認証)**する仕組みが手作業で回らない → キャンペーンとして自動化したい
- 職務分掌(SoD)に反する権限の組み合わせを見逃したくない → 違反を検知して是正したい
- クラウドとオンプレにID とアクセスが分断している → 一元的に統制したい
主要概念と用語
- IGA(Identity Governance and Administration): ID とアクセス権の「統制」を担う領域。プロビジョニング・アクセスレビュー・ポリシー違反検知などを含む。OCI IAM の「認可(誰に何を許すか)」に対し、Access Governance は「その権限が妥当かを継続的に統制する」側を担う
- アクセスレビュー / アクセス証明(キャンペーン): 付与済みのアクセス権をレビュー担当者に提示し、承認(維持)または却下(剥奪)してもらう一連の活動。期間と対象を定めたキャンペーンとして実行する
- オーケストレーション / プロビジョニング: レビュー結果や申請に基づき、対象システムへアクセス権の付与・剥奪を自動反映する仕組み
- ポリシー違反検知 / 職務分掌(SoD): 「申請と承認を同一人物が持つ」など、両立してはいけない権限の組み合わせを定義し、違反を検出する
- アイデンティティインテリジェンス / 分析: 権限の利用状況やリスクを分析し、過剰権限や異常を浮き彫りにする
- 規範的推奨(Prescriptive Recommendation): レビュー時に「この権限は休眠している」等の根拠を添えて、承認・却下の判断材料を提示する機能
- データフィード / コネクタ: OCI IAM やオンプレ含む各システムから ID・アクセス情報を取り込む連携経路
仕様・制限・クォータ
- クラウドサービスとして提供される IGA ソリューションで、対象システムを連携して利用する
- 連携対象は **OCI IAM(アイデンティティドメイン)**を中心に、オンプレや他システムを含む幅広いソースに対応する(対応範囲は提供時点の仕様に従う)
- 利用にはサブスクリプションが必要で、画面操作のほか REST API からも操作できる
- アクセスレビューは期間・対象・レビュー担当者を定義したキャンペーンとして回す。スケジュール実行も可能
- 連携可能なシステム種別・コネクタの対応状況・取り込み頻度などの詳細は提供時点で変動するため、公式ドキュメントで都度確認する
- 料金・上限・対応バージョンといった変動する具体値は断定しない
OCI IAM が「いま誰に何を許すか」を決める認可基盤なのに対し、Access Governance は「その許可が妥当か」を継続的に統制します。両者は対立せず、IAM で付けた権限を Access Governance でレビュー・是正する補完関係です。
内部の仕組み
Access Governance は各システムから ID とアクセス情報をデータフィード(コネクタ)経由で取り込み、サービス側に正規化して集約します。集約データに対して「誰がどのリソースに、どの経路でアクセスできるか」を解析し、可視化と分析の基盤を作ります。
アクセスレビューでは、対象集合とレビュー担当者を指定したキャンペーンを生成し、各担当者に判断対象を割り当てます。このとき規範的推奨が、権限の休眠状況やリスク指標などの根拠を添えて承認・却下の判断を助けます。レビュー担当者が却下したアクセスは、オーケストレーションを通じて対象システムへ剥奪として反映されます(自動プロビジョニング)。
ポリシー違反検知では、定義した職務分掌(SoD)ルールに照らして両立してはいけない権限の組み合わせを評価し、違反を検出します。これらの結果は分析・推奨と組み合わせ、過剰権限や異常な付与の是正につなげます。
設計パターン / ベストプラクティス
- OCI IAM を最優先で連携し、テナンシ内のアクセス権をまず一元可視化してからオンプレ等へ広げる
- アクセスレビューは対象を絞ったキャンペーンを定期スケジュールで回し、全体一括の大規模レビューでレビュー担当者を疲弊させない
- レビュー担当者には規範的推奨を活用させ、休眠権限など根拠のある却下を促して権限クリープを継続的に解消
- 職務分掌(SoD)ルールを業務リスクから設計し、申請・承認・実行が一人に集中する危険な組み合わせを違反として検知
- 却下結果はオーケストレーションで自動剥奪まで一気通貫にし、レビューと実態の乖離を防ぐ
- 連携・レビュー・是正の権限は IAM ポリシーで運用ロールごとに分離し、統制機能自体の悪用を防ぐ
運用・監視
- アクセスレビューを周期キャンペーン化し、四半期など規制要件に合わせた頻度で確実に実施する
- レビューの完了率・却下件数・SoD 違反数を継続的にモニタリングし、統制の効き具合を可視化する
- データフィードの取り込み失敗や遅延を監視し、可視化対象に欠落が出ないようにする
- 是正(剥奪)が対象システムへ正しく反映されたかを確認し、レビュー結果と実態の整合を担保する
- レビュー結果やキャンペーン履歴を監査証跡として保持し、コンプライアンス対応の根拠にする
コスト
| 観点 | 課金の考え方 | コスト最適化のヒント |
|---|---|---|
| 利用規模 | 管理対象の ID・アクセス規模に応じて増える傾向 | 連携対象を統制が必要なシステムへ絞る |
| キャンペーン運用 | レビューの頻度・範囲が運用負荷を左右 | 対象を絞った定期キャンペーンで効率化 |
| 連携の広さ | 対象システムを広げるほど取り込み量が増える | リスクの高いソースから段階導入する |
具体的な料金体系はサブスクリプションの形態やリージョン、管理規模によって変動するため、正式な見積もりは公式の料金情報で確認してください。
セキュリティ
- Access Governance の操作権限は OCI IAM ポリシーで制御し、連携・レビュー・是正の権限を用途ごとに分離して最小権限を徹底する
- アクセスレビューにより過剰権限・休眠権限を継続的に剥奪し、攻撃面(ブラスト半径)を縮小する
- 職務分掌(SoD)違反の検知で、不正の温床となる危険な権限の組み合わせを早期に潰す
- 統制対象のソースとの連携経路を限定し、取り込むデータと反映する是正の双方を管理下に置く
権限を付けっぱなしでレビューしない運用は、権限クリープと内部不正の温床になります。Access Governance を導入してもキャンペーンを回さなければ価値は出ません。また、職務分掌(SoD)ルールを定義せずにレビューだけ実施すると、危険な権限の組み合わせを見逃します。レビューと SoD 検知はセットで設計してください。
関連サービス・比較
最も近い関連サービスは OCI IAM です。IAM が「いまの認可」を決めるのに対し、Access Governance は「その認可が妥当かを統制する」役割を担い、両者は補完関係にあります。
| 観点 | OCI Access Governance | OCI IAM |
|---|---|---|
| 主目的 | アクセス権の統制(レビュー・是正) | 認証と認可(権限付与そのもの) |
| カテゴリ | IGA(ガバナンス) | IAM(認証認可基盤) |
| 主機能 | アクセスレビュー・SoD 検知・自動是正 | ポリシーによる許可・グループ・ドメイン |
| 対象範囲 | OCI に加えオンプレ等を横断 | 主に OCI テナンシ内のリソース |
| 位置づけ | 権限が妥当かを継続検証 | 権限を付ける土台 |
| AWS の近い相当 | IAM Access Analyzer +アクセスレビュー | AWS IAM |
アクセスの可視化・過剰権限の発見という観点では AWS の IAM Access Analyzer が近い相当ですが、Access Governance はレビューのキャンペーン化・職務分掌検知・自動是正まで含む IGA として範囲が広い点が異なります。
ハンズオン / CLI例
# Access Governance の管理対象や設定は主にコンソール/REST API で扱う。
# ここでは前提となる OCI IAM 側の確認と、API 利用準備を CLI で示す。
# 1. 連携の起点となるアイデンティティドメイン一覧を確認
oci iam domain list \
--compartment-id <compartment-ocid> \
--output table
# 2. レビュー対象になりうるグループ(権限の束)を確認
oci iam group list \
--compartment-id <tenancy-ocid> \
--output table
# 3. 統制対象を絞るためのコンパートメント階層を確認
oci iam compartment list \
--compartment-id <tenancy-ocid> \
--compartment-id-in-subtree true \
--output table
# 4. REST API 利用準備:リージョンのサービスエンドポイントを確認
# (Access Governance の操作は REST API / コンソールから実施する)
oci iam region list --output table
- Access Governance は IGA(ID とアクセスの統制)を担い、OCI IAM の認可をレビュー・是正で補完する
- 中核機能はアクセスレビュー(証明キャンペーン)・職務分掌(SoD)違反検知・自動プロビジョニング(是正)
- 規範的推奨がレビュー担当者の承認・却下判断を根拠付きで支援する
- 対象は OCI IAM を中心にオンプレ等まで横断して可視化できる
- 「いまの認可=IAM」「その妥当性の統制=Access Governance」という役割分担を区別する
OCI Service
OCI Access Governanceを実務で読む
TL;DRは入口です。実際に選ぶ・使う段階では、何を解決するか、何と比較するか、導入後にどこで詰まるかまで見る必要があります。
解決すること
セキュリティ・ID
比較で見る軸
クラウド: OCI / カテゴリ: セキュリティ・ID / 難易度: intermediate
導入後に効く点
プロビジョニング自動化・SoD 違反検知・推奨提示で是正を支援する。
先に潰すリスク
サービス単体ではなく、権限、ネットワーク、監視、課金、バックアップを含めて設計する必要がある。
- クラウド
- OCI
- カテゴリ
- セキュリティ・ID
- 難易度
- intermediate
- 関連資格
- —
- 設計柱
- security / operational
判断チェックリスト
- 自社の用途が「セキュリティ・ID / security」に近いか確認する。
- 強みである「アクセス権を可視化しレビュー・証明(キャンペーン)を回す IGA サービス。」が本当に評価軸になるか確認する。
- 注意点の「サービス単体ではなく、権限、ネットワーク、監視、課金、バックアップを含めて設計する必要がある。」を運用で吸収できるか確認する。
- 公開値や仕様値は、対象プラン・対象機種・対象リージョンまで確認する。
- 既存システム、ID、ネットワーク、監視、バックアップとの接続方法を先に洗い出す。
- 小さく試してから、本番移行、権限設計、障害時手順、コスト監視を決める。